רוח רפאים: ארה"ב מתריעה מפני סכנת הכופרה הסינית

הרשויות בארה"ב פרסמו פרטים חדשים על קבוצת הכופרה הסינית הוותיקה רוח רפאים, "Ghost", שלפיהם היא פגעה בארגונים ביותר מ-70 מדינות.

את האזהרה המשותפת פרסמו בסוף השבוע ה-FBI, הסוכנות לאבטחת סייבר ותשתיות, CISA, והמרכז לשיתוף וניתוח מידע רב-מדינתי, MS-ISAC. היא כוללת אינדיקטורים חדשים לפרצות, טקטיקות, טכניקות ונהלים.

לדבריהם, קבוצת הכופרה הזו הינה ייחודית: מקורה בסין, בעוד שרוב שחקני הכופרות מגיעים מארצות ברית המועצות לשעבר. היא ידועה גם בכינויים Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada ו-Rapture. בהיבטים אחרים, הקבוצה חולקת קווי דמיון רבים עם שאר קבוצות הכופרה.

חברי הקבוצה משיגים בדרך כלל גישה ראשונית לרשת הקורבן על ידי ניצול פגיעויות ידועות במערכות חשופות פומבית, כגון מכשירי Fortinet FortiOS, ובשרתים המריצים Adobe ColdFusion, Microsoft SharePoint ו-Microsoft Exchange.

לפי ההתראה של הסוכנויות הפדרליות, "לשחקני 'רוח רפאים' אין יכולת התמדה. הם בדרך כלל מבלים רק כמה ימים ברשתות הקורבנות. במקרים רבים הם נצפו מתקדמים מהפריצה הראשונית לפריסת הכופרה – באותו היום".

הקבוצה משתמשת ב-Cobalt Strike, כמו גם בכלי קוד פתוח שונים, לטובת הסלמה של הרשאות, וב-Cobalt Strike – שוב – לטובת השגת גישה לאישורים, גילוי חשבונות דומיין, תנועה רוחבית ושליטה ובקרה (C2). הכלי נפרס גם כדי לרשום אילו מערכות נגד נוזקות פועלות על מחשבי הקורבן – על מנת להשבית אותן.

"חברי רוח רפאים טוענים לעתים קרובות, שנתונים שחולצו יימכרו – אם דמי הכופר לא ישולמו", נכתב, "עם זאת, הם אינם קוצרים לעתים קרובות כמות משמעותית של מידע או קבצים, כגון קניין רוחני, או מידע המאפשר זיהוי אישי (PII) – מה שעלול לגרום נזק משמעותי לקורבנות אם יודלף".

חוקרי הממשל הפדרלי העריכו, כי "נראה כי הקבוצה מנסה לתקוף ארגונים שבהם רמת ההגנה אינה גבוהה. לעתים קרובות הם זונחים מתקפות כאשר הם מתמודדים עם מערכות הגנה קשוחות, המונעות מהם תנועה רוחבית במערכות הקורבן".

חלק גדול מקורבנותיה של רוח רפאים הם עסקים קטנים ובינוניים, ספקי תשתיות קריטיות, בתי ספר ואוניברסיטאות, ארגוני בריאות, גופים ממשלתיים, מוסדות דת וחברות טכנולוגיה וייצור.

ההתראה מסתיימת בשלוש המלצות של אנשי CISA לצמצום האיום מכיוונה של רוח רפאים: בנו מערך קבוע של גיבויים, שיאוחסן בנפרד ממערכות המקור; תקנו את כלל הפגיעויות הידועות במועד, ועשו זאת באופן מבוסס סיכונים; בצעו פילוח של הרשתות לטובת הגבלתה של תנועה רוחבית של הרעים; דאגו לפריסת אימות רב-גורמי (MFA), שיהיה עמיד בפני מתקפות פישינג עבור כל החשבונות והשירותים".